TikTokΑναφορά ευπαθειών ασφάλειας
Η αποστολή του TikTok είναι να εμπνέει τη δημιουργικότητα και να προσφέρει χαρά. Η ασφάλεια και η εύρυθμη λειτουργία της πλατφόρμας μας συνδέονται στενά με αυτήν την αποστολή. Εάν τα πράγματα δεν λειτουργούν σωστά στο TikTok, η αποκλειστική ομάδα ασφαλείας μας είναι έτοιμη να ανταποκριθεί και να επιλύσει αυτά τα ζητήματα. Εκτός από την ομάδα των έμπειρων επαγγελματιών ασφαλείας και των κορυφαίων στον κλάδο τεχνολογιών ασφαλείας που διαθέτουμε, βασιζόμαστε, και εκτιμούμε, τυχόν εξωτερικά δεδομένα που επισημαίνουν τεχνικά σφάλματα ασφάλειας στην πλατφόρμα μας. Λαμβάνοντας όλα αυτά υπόψη, έχουμε ορίσει ένα σύνολο πολιτικών που θα καθοδηγούν τους εξωτερικούς μας εταίρους ως προς τη σωστή αναφορά των ευπαθειών. Χαιρετίζουμε τη συμβολή σας και εκτιμούμε τις προσπάθειές σας για την προστασία του TikTok.
Πολιτική αναφοράς ευπαθειών
• Για ερωτήσεις, ανησυχίες ή προβλήματα σχετικά με το προφίλ σας, κάντε κλικ εδώ.
• Για ερωτήσεις, ανησυχίες ή προβλήματα σχετικά με την πολιτική απορρήτου του TikTok ή για τυχόν απάτες, κάντε κλικ εδώ.
• Αν κάποιος χρησιμοποιεί εσφαλμένα την επωνυμία σας, επικοινωνήστε μαζί μας.
Αν θεωρείτε ότι έχετε εντοπίσει κάποιο σφάλμα ασφαλείας ή μια ευπάθεια στην εφαρμογή ή τον ιστότοπο του TikTok, υποβάλετε την αναφορά σας εδώ. Θα ανακατευθυνθείτε στον ιστότοπο του HackerOne, του αξιόπιστου συνεργάτη μας για θέματα σφαλμάτων ασφαλείας. Το HackerOne παρέχει περισσότερες πληροφορίες σχετικά με τις οδηγίες υποβολής και σας επιτρέπει να υποβάλετε μια αναφορά.
Το TikTok ακολουθεί μια Πολιτική συντονισμένης γνωστοποίησης. Παρακαλούμε ανατρέξτε στην Πολιτική γνωστοποίησης και εμπιστευτικότητας που ορίζεται στην Πολιτική TikTok HackerOne για περισσότερες λεπτομέρειες.
Οδηγίες
Παρακαλούμε επισκεφθείτε την ενότητα Κανόνες και Οδηγίες Προγράμματος στην Πολιτική TikTok HackerOne για λεπτομέρειες.
Συχνές ερωτήσεις (FAQ)
Τι είδους ζητήματα θεωρούνται ευπάθειες ασφαλείας και πρέπει να αναφέρονται; Ζητήματα σχετικά με τεχνικά σφάλματα ασφάλειας που επηρεάζουν το TikTok θα πρέπει να αναφέρονται εδώ. Στα ζητήματα περιλαμβάνονται ενδεικτικά τα εξής:
• XSS, CSRF, SSRF , SQL Injection, ROP, JOP, κ.λπ
• Ευαίσθητα διαπιστευτήρια που έχουν διαρρεύσει ή καθορίζονται από τον προγραμματισμό
• Εκμεταλλεύσιμα και επικίνδυνα API.
• Έλεγχος επιθέσεων κλοπής ροής
• Διαρροές δεδομένων χρηστών
• Ζητήματα που αναφέρονται στα Κορυφαία Δέκα του OWASP για εφαρμογές web
• Ζητήματα που αναφέρονται στα Κορυφαία Δέκα του OWASP για εφαρμογές φορητών συσκευών
• Ευπάθειες ελέγχου ταυτότητας ή εξουσιοδότησης
• Πρόσβαση σε εσωτερικούς πόρους του TikTok, όπως ο πηγαίος κώδικας υποστήριξης, η βάση δεδομένων κ.λπ.
• Ανοιχτή ανακατεύθυνση - εάν μπορεί να αποδειχθεί πρόσθετος αντίκτυπος στην ασφάλεια
• Παρακάμψεις ασφάλειας κατά του αυτοματισμού ή έλλειψη περιορισμού ρυθμού σε επαληθευμένα τελικά σημεία
• Χρήση της εφαρμογής TikTok για κλιμάκωση προνομίων για επίθεση στο λειτουργικό σύστημα κινητής τηλεφωνίας
• Αυθαίρετη εκτέλεση κώδικα σε διακομιστές/πελάτες του TikTok
Υπάρχει ανταμοιβή, επιβράβευση ή CVE για επιβεβαιωμένες ευπάθειες;
Παρακαλούμε επισκεφθείτε τις ενότητες Ανταμοιβές & Δεν πληρούνται τα κριτήρια για ανταμοιβή στην Πολιτική TikTok HackerOne για περισσότερες λεπτομέρειες σχετικά με την επιβράβευση.
Πόσος χρόνος χρειάζεται για να μπορέσω να δημοσιεύσω τα ευρήματά μου;
Ζητάμε από τους ερευνητές ασφαλείας να τηρούν την Πολιτική γνωστοποίησης και εμπιστευτικότητας που ορίζεται στην Πολιτική TikTok HackerOne.
Ποιοι τομείς web εμπίπτουν στο πεδίο εφαρμογής του TikTok;
Παρακαλούμε επισκεφθείτε την ενότητα Εντός πεδίου στην Πολιτική TikTok HackerOne για λεπτομέρειες.
Πώς μπορώ να ειδοποιηθώ ότι διερευνάται ένα ζήτημα ασφαλείας που έχω αναφέρει;
Τα ζητήματα ασφαλείας που αναφέρονται αξιολογούνται με βάση την κρισιμότητα και την επιχειρηματική προτεραιότητα και περνούν από τη διαδικασία διαλογής η οποία εκτελείται στα πλαίσια της έρευνάς μας. Θα σας κρατάμε ενήμερους για την εξέλιξη της υπόθεσης στο μέγιστο των δυνατοτήτων μας.